マイクロソフトの元OfficeおよびWindows責任者であるスティーブン・シノフスキー氏は、WM/Concept.A、Melissa、ILOVEYOUなどの初期のウイルスの影響や、Word文書内の隠されたGUID(グローバル一意識別子)を中心とした初期のプライバシー論争を振り返った。
シノフスキー氏はマイクロソフト在籍時代を綴った著書を執筆中で、現在は『ハードコア・ソフトウェア:PC革命の興亡』というタイトルが付けられている。「転落」という部分は、Windows 10やSurfaceを売り込む現在のマイクロソフト関係者には好感を持たれないだろうと推測できるが、彼の言うことには一理ある。PCがコンピューティングを支配していた時代はとうに過ぎ去り、iOSやAndroidのモバイルデバイスの台頭によって失われた。そして、本当に重要なのは使用するデバイスではなく、アクセスするクラウドサービスであるという認識も揺らいでいる。
彼は1998年から2006年までMicrosoft Officeを担当し、その後2006年から2012年までWindowsを担当した。彼が関わったものはすべて大成功を収めたが、特にWindows 7は、不評だったVistaの後にMicrosoftのオペレーティングシステムを救ったが、その後、Windows 8とSurface RTの悲惨な発売を監督することになった。
サイバー犯罪者が「ILOVEYOU」というタイトルの興味深い小さなメールでソーシャルエンジニアリングに目覚めてから20年が経ちました。
続きを読む
Windows 8に関する彼の再解釈を待ちたいところですが、その間、彼はマルウェア攻撃を受けた当時のOfficeの運用状況を綴った記事を執筆しました。本の草稿からの抜粋を含むこの投稿は、ちょうどILOVEYOUの20周年記念と重なっています。彼は2000年5月5日から7日の週末を、「世界中のOutlookとExchangeのメールユーザーの受信トレイが、『ILOVEYOU』という件名のメールが何十通も殺到した」時期だと回想しています。
シノフスキー氏は、エンジニアリングチームに行動を促すために「必死に20ページのメモを書いた」が、「物議を醸しすぎる」ことを恐れて結局送らなかったと述べた。ウィンドウズ8を考案した人物としては驚くべき自制心だった。
ILOVEYOUは最初のOfficeウイルスではありませんでした。その栄誉はおそらくConceptに与えられるでしょう。Conceptは1995年に、Wordの自動テンプレートであるNormal.DOTにマクロを追加することで拡散しました。Conceptは厄介ではありましたが、比較的無害でした。その後、1999年初頭にMelissaが登場しました。これは別のマクロウイルスで、ユーザーのOutlook連絡先リストの最初の50件のアドレスに自身を送信することで拡散しました。Melissaのペイロードは単なるポルノサイトのリストでしたが、非常に効果的に拡散し、サービス拒否攻撃やメールサーバーの停止を引き起こし、「数十億ドルの損害」が報告されるほどでした。
シノフスキー氏は、OfficeとOutlookのセキュリティ侵害の容易さは、自由奔放な文化と関連していると示唆している。「ソフトウェア業界は1960年代のカウンターカルチャーから発展してきた。靴を履いていないスティーブ・ジョブズ。高校のコンピュータシステムをハッキングするビル・ゲイツ。二人とも大学中退者だ。PC業界に欠けていたのは、ソフトウェアエンジニアとは何かという正式な概念だった」と彼は書いている。
とはいえ、同社はマルウェアの脅威を深刻に受け止め、対応策を講じました。シノフスキー氏は、チームがどのようにしてOutlook電子メールセキュリティアップデートを考案したかを説明しています。このアップデートは、特定のファイル形式を添付ファイルとして送信できないようにし、アドレス帳へのプログラムによるアクセスをOutlookから保護し、電子メールに埋め込まれたコードを実行する前に警告メッセージを表示するようにしました。このパッチは2000年6月にリリースされました。問題は、このパッチが組織でワークフローを自動化するために使用されているコードを破壊してしまったことです。
「メリッサが使用したOutlookのマクロ機能は大きな支持を集め、製品の戦略的な側面となった。企業が重視する重要な機能は、ウイルス作成者によって武器化されていた」と同氏は語った。
ユーザー教育に頼るのは無駄だと彼は指摘した。「ソフトウェアを使用しているユーザーが、メールの開封からチケットの予約、プログラムの起動、ウェブページの閲覧まで、何らかのタスクをフロー的に実行しているとき、警告メッセージは基本的に無視され、したがって意味をなさないのです。… すぐそこに「OK」ボタンがあるのに、誰もテキストを読みません。」
マイクロソフトはセキュリティのために機能を犠牲にすることを決断した。「特に新製品のために重要なエコシステムを壊すという考えは、マイクロソフトの互換性重視の姿勢とは相反するものでした。チームが提案し、そして実現したことは、大胆なものでした」とシノフスキー氏は主張した。
Outlook のセキュリティ パッチやそれ以降のその他の対策がマルウェアの拡散の抑制に役立ったのは事実ですが、Microsoft が自社のテクノロジ (Internet Explorer の ActiveX など) のセキュリティを制御するためにさらに対策を講じることができたケースもあります。
マルウェアだけが彼の研究対象ではありません。シノフスキー氏は、Office文書のメタデータにGUIDが挿入されることに対する初期の懸念についても回想しています。1999年初頭、プログラミングツール会社であるPhar Lap Softwareのリチャード・M・スミス氏は、Microsoftのソフトウェアがネットワーク上のデバイスを識別するMACアドレスを含むGUIDを生成し、それらのGUIDがWindowsレジストリとWord文書に存在することを発見しました。
この件はプライバシー擁護団体によって取り上げられ、シノフスキー氏はニューヨーク・タイムズのジョン・マーコフ氏がマイクロソフトに連絡を取り、マイクロソフトが顧客を追跡するためにこの技術を利用しているかどうかを尋ねたことを回想している。「この陰謀論は根深いものでした」とシノフスキー氏は述べ、「根拠のない説であり、提案されたことは一切行いません」と付け加えた。
しかし、プライバシー擁護派は何かに気づいていた。メリッサがスパムした文書はLIST.DOCという名前で、スミス氏はそこにGUIDの1つが含まれていることに気づいた。彼はそれをオンラインに投稿した。「最終的に、スミス氏はネットワークカードのアドレスの痕跡をすべてウイルス作成者に結びつけることができた。ウイルス作成者はウイルス公開から1週間後、ニュージャージー州の実家で逮捕された」と彼は語った。「Office 2000のメタデータのおかげでそれが可能になった。こんなことを自分で考え出せたらよかったのに」
追跡を確実に防止する唯一の方法は、追跡を可能にする識別子を削除することであるというタイムリーなリマインダーです。®
